Hoe zou de wereld eruit zien zonder het simpele spreadsheet? Het is niet altijd eenvoudig om om te gaan met de risico's verbonden aan het gebruik van dit alom vertegenwoordigde hulpmiddel. Spreadsheet risicomanagement: een benadering in vier stappen.

Bij het beschrijven van processen, bijvoorbeeld in het licht van Sarbanes-Oxley, Basel II of Tabaksblat, is bij een groot aantal bedrijven een schrikbarende hoeveelheid spreadsheets op cruciale plaatsen in het financiële rapportageproces tevoorschijn gekomen.

De rol die dit gereedschap speelt in het opstellen van de ondernemingsresultaten kwam voor veel bedrijven als een complete verassing. Het goede nieuws is dat men zich meer bewust is geworden van de risico's van het gebruik van spreadsheets. Het slechte nieuws is dat voor de meeste bedrijven het spreadsheetgebruik verre van beperkt is tot het financiële rapportageproces.

Voor de meeste bedrijven zijn de risico's verbonden aan het gebruik van spreadsheets bekend, maar hoe krijg je ze onder controle?

1 Inventarisatie van aanwezige spreadsheets en hun belang voor de onderneming
Een goed begin is een inventarisatie van de spreadsheets die gebruikt worden bij de processen en afdelingen waar volgens de onderneming het hoogste risico aan kleeft.

Wat houdt het management wakker? Welke besluiten hebben een groot effect op de aandeelhouderswaarde? Wat kan de reputatie van het bedrijf schaden? De beheersing van risico's verbonden aan het gebruik van spreadsheets zou boven aan de agenda moeten staan.

Bij het in kaart brengen van de risico´s moet men bepalen in welke onderdelen van de organisatie sterk op informatie vanuit spreadsheets wordt gesteund. Het middenkader in een bedrijf is vaak goed op de hoogte van de gebieden waar ERP-systemen niet de gewenste managementinformatie leveren en waar - als gevolg daarvan - spreadsheets gemeengoed zijn.

Vervolgens kan de financieel manager door middel van een risicobeoordeling bepalen wat de negatieve effecten van foutieve informatie uit spreadsheets zijn en wat de kans is dat deze zich kunnen voordoen. Wanneer duidelijk is op welke gebieden het grootste spreadsheetrisico bestaat, moeten de daar gebruikte spreadsheets worden geïnventariseerd.

Bijvoorbeeld door een zogenaamde process walkthrough is een goed inzicht te verkrijgen in de relevante spreadsheets. Het gebruik van geautomatiseerde gereedschappen die het netwerk scannen op bijvoorbeeld veelgebruikte spreadsheets, bestandsgrootte en de laatste wijzigingsdatum kan de inventarisatie versnellen en versimpelen.

Het heeft als voordeel dat er geen belangrijke spreadsheets worden gemist. Ook moet de financieel manager de onderliggende spreadsheets, gebruikt voor de onderbouwing van data, analyses, presentaties en rapportages, in het overzicht opnemen. Aan de hand van dit overzicht kan hij bepalen wat het belang van de verschillende spreadsheets is.

Belangrijkste punten overzicht
1 Eigenaar van het spreadsheet
2 Ontwerper van het spreadsheet
3 Welke data worden bijgehouden?
4 Frequentie van bijwerken
5 Doel
6 Interfaces van en naar het spreadsheet

2. Prioriteitsstelling van spreadsheets voor risicomanagement.
Om te bepalen welke spreadsheets cruciaal zijn voor de onderneming, beoordeelt de financieel manager de spreadsheets op het belang voor de onderneming en de complexiteit van het spreadsheet.

Veelal beperkt men zich in het bepalen van het belang van een spreadsheet tot het financiële verlies waartoe verkeerde informatie uit het spreadsheet kan leiden. Naar ons inzicht is het daarnaast ook van belang te beoordelen wat de effecten zijn als de informatie uit het spreadsheet in verkeerde handen valt, hoe gevoelig het spreadsheet is voor eventuele fraude of hoe betrouwbaar een spreadsheet is in het totaal van interne controlemaatregelen binnen het bedrijf.

De financieel manager betrekt ook de maatregelen (veelal organisatorisch) die al genomen zijn om het risico van het gebruik van een bepaald spreadsheet te verminderen bij het stellen van prioriteiten. Om het belang van het spreadsheet voor de onderneming meetbaar te maken moet hij een schaal opstellen aan de hand van subjectieve criteria.

Dat zijn bijvoorbeeld: dit spreadsheet is niet doorslaggevend voor belangrijke ondernemingsbesluiten, een fout in dit spreadsheet zou tot vervelende gevolgen kunnen leiden en een fout in dit spreadsheet leidt tot een materieel verlies voor de onderneming. De schaal begint niet bij 0.

Een spreadsheet waarbij een fout geen invloed heeft, is in de meeste gevallen een onnodig spreadsheet. De complexiteit van een spreadsheet is makkelijker in een schaal te passen. Deze gaat van simpele, enkelvoudige spreadsheets naar complexe modellen met vele worksheets, links en formules.

Het bepalen van de complexiteit van een spreadsheet is nodig om het benodigde type en niveau van beheersmaatregelen vast te stellen. Criteria voor complexiteit zijn: grootte, layout & design en formulegebruik. Er is een aantal hulpmiddelen op de markt die aan de hand van door de gebruiker opgegeven criteria een analyse van de complexiteit van spreadsheets maken.

Een handmatige exercitie is over het algemeen minder efficiënt en kan tot  inconsistenties leiden. Bij deze beoordeling moet ook het onderwerp van het spreadsheet worden betrokken, dus blijft een professional judgement noodzakelijk. Aan de hand van gevonden belang en de complexiteit, zet de financieel manager alle relevante spreadsheets op een risicokaart. Zo kan hij bepalen welke spreadsheets het eerst de aandacht verdienen.

3 Bepalen benodigde beheersmaatregelen
Voor de spreadsheets die de hoogste prioriteit hebben voor de onderneming, bepaalt de financieel manager wat de aanwezige risicobeheersmaatregelen zijn. Dit is over het algemeen een eenvoudige stap omdat beheersmaatregelen veelal ontbreken.

Op dit moment moet dan ook de vraag worden gesteld of de organisatie voor dit proces überhaupt spreadsheets moet gebruiken. Wanneer er sprake is van een groot belang, grote complexiteit en frequent gebruik is het antwoord bijna per definitie nee.

Toch kunnen we er vanuit gaan dat de kans dat het betreffende spreadsheet blijft, groot is. Dat is in elk geval op korte termijn zo. Dus moeten er maatregelen worden genomen om de aan het gebruik ervan klevende risico´s te verminderen of op zijn minst te beheersen.

De financieel manager kan minimaal de volgende maatregelen nemen om de integriteit van de data in een spreadsheet te waarborgen:

• toegangsbeveiliging (opslaglocaties met beperkte toegang, wachtwoordbeveiliging)
• ontwerpregels
• integriteitcontroles (bijvoorbeeld controletotalen om te bepalen of alle benodigde data zijn geïmporteerd)

4 Implementatie beheersmaatregelen
De volgende drie onderdelen zijn te onderscheiden in de implementatie van risicobeheersmaatregelen:

• het definiëren van het spreadsheet control framework
• een spreadsheet review
• de implementatie van spreadsheetmanagementsoftware

Door het opzetten van een spreadsheet control framework waarborgt een financieel manager alle aspecten van spreadsheet risicomanagement. Het raamwerk bestaat uit een aantal onderdelen: het beleid van spreadsheetgebruik, de taken en verantwoordelijkheden van ontwerpers en gebruikers van spreadsheets, de beheersmaatregelen (toegangsbeveiliging, change management en vrijgave procedures) en minimale vereisten aan de inrichting van spreadsheets (onder meer versiebeheer, vermelding ontwerper en gebruiker en bron van gebruikte data).

Naast de integriteit van de gebruikte data is het zaak dat het spreadsheet doet waar het voor is bedoeld. In een spreadsheet review wordt de logische werking, de interne consistentie en de rekenkundige juistheid van de gebruikte formules beoordeeld. Ook kijkt de financieel manager naar de manier waarop het spreadsheet wordt gevuld met data en naar de belangrijkste aannames die aan het spreadsheet ten grondslag liggen.

Helaas is een spreadsheet review een momentopname. De financieel manager zou dan ook moeten zoeken naar maatregelen die er voor zorgen dat het spreadsheet ook in de toekomst blijft werken. Er zijn een aantal softwarepakketten die de financieel manager kan inzetten bij het management van spreadsheetrisico. Deze zijn vooral gericht op beveiliging tegen ongeoorloofd gebruik, het forceren van versiebeheer en het verkrijgen van de brondata.

Een aantal is daarnaast ook nog geschikt voor ondersteuning van audits en de review van spreadsheets. De beschikbare pakketten variëren sterk in prijs, kwaliteit en praktische inzetbaarheid. Ze zijn niet bij voorbaat geschikt voor elk type bedrijf. In de praktijk maken de meeste bedrijven gebruik van een mix van organisatorische maatregelen en software om spreadsheetrisico kostenefficiënt te managen.

Wanneer het gebruik van software voor het managen van spreadsheetrisico gewenst is (dat zou zo moeten zijn voor elk bedrijf dat veel gebruikmaakt van spreadsheets) moeten de pakketten zorgvuldig tegen elkaar worden afgewogen.

Directeur Carolina Wielinga en senior manager Anneke Wieling zijn beiden werkzaam bij Protiviti Nederland, dienstverlener op het gebied van onafhankelijke business risk, technology risk consulting en internal audits services.